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Beschreibung 

Verfahren zum Aufbauen einer Datenverbindung zwischen einer 
ersten und einer zweiten Recheneinheit und Vorrichtung zum 
Austauschen von Daten 

Die Erfindung betrif ft ein Verfahren zum Aufbauen einer Da- 
tenverbindung zwischen einer ersten und einer zweiten Rechen- 
einheit gemaS dem Oberbegriff des Patentanspruchs 1 und eine 
Vorrichtung zum Austauschen von Daten gemaS dem Oberbegriff 
des Patentanspruchs 8 . 

In Netzsystemen wird ublicherweise ein Zugang von einem 6f- 
fentlichen Bereich, wie beispielsweise dem Internet, in einen 
abgeschlossenen Bereich, wie beispielsweise einem Intranet, 
viber eine Zugangsrecheneinheit geschaltet. Die Zugangsrechen- 
einheit stellt eine Verbindung zwischen dem geschlossenen Be- 
reich und der AuSenwelt dar. Vorzugsweise ist die Zugangs- 
recheneinheit als Firewall -Rechner ausgebildet, der die Zu- 
gangsberechtigung einer externen Recheneinheit uberpriift und 
bei Vorliegen der Zugangsberechtigung einen Zugang zu dem ge- 
schlossenen Bereich zulasst. Neben der Zugangsberechtigung 
iiberwacht die Zugangsrecheneinheit zudem den Aufbau der Ver- 
bindung, die in den geschlossenen Bereich geschaltet wird, 
und filtert die Daten aus dem Datenstrom heraus, die vorgege- 
bene Parameter nicht erflillen. Auf diese Weise wird gewahr- 
leistet, dass nur korrekte Daten in den geschlossenen Bereich 
gelangen . 

Damit externe Recheneinheiten einen Zugang zu dem geschlosse- 
nen Bereich erhalten konnen, ware es erf orderlich, dass die 
Zugangsrecheneinheit mit einer Vielzahl von Kommunikations- 
protokollen zusammenarbeitet . Zum einen ist die Ausbildung 
der Zugangsrecheneinheit fur eine Kompatibilitat mit vielen 
Kommunikationsprotokollen relativ aufwendig und zum anderen 
ist eine Erweiterung der Funktionalitat der Zugangsrechenein- 
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heit relativ aufwendig, da Software-Komponenten der Zugangs- 
recheneinheit verandert und/oder adaptiert werden miissen. 

Die Aufgabe der Erfindung besteht darin, ein Verfahren und 
eine Vorrichtung bereitzustellen, mit der ein einfacher Zu- 
gang zu einem geschlossenen Bereich moglich ist. 

Die Aufgabe der Erfindung wird durch ein Verfahren gemafi dem 
Anspruch 1 und eine Vorrichtung gemaS dem Anspruch 8 gelost. 



Vorzugsweise ist eine weitere vierte Recheneinheit vorgese- 
hen, die mit der Zugangs recheneinheit in Verbindung steht, 
^ und die den Aufbau einer Datenverbindung und die Datenverbin- 
dung iiber die Zugangsrecheneinheit in den geschlossenen Be- 

15 reich aufrecht erhalt. In dieser Ausf iihrungsf orm ist es nicht 
erf orderlich, dass die Zugangsrecheneinheit, das von der ex- 
ternen, ersten Recheneinheit verwendete Kommunikationsproto- 
koll verarbeiten kann. Die Zugangsrecheneinheit iibergibt das 
von der externen, ersten Recheneinheit ubermittelte Datum an 

20 die weitere Recheneinheit, die den Aufbau einer Datenverbin- 
dung zu einer innerhalb eines geschlossenen Bereichs befind- 
lichen zweiten Recheneinheit iiber die Zugangsrecheneinheit 
durchf uhrt . 



5 Somit ist beispielsweise eine Erweiterung der Kommunikations- 
protokolle, die einen Zugang zu dem geschlossenen Bereich er- 
halten sollen, durch eine geringe Konf igurationsanderung in 
der Zugangsrecheneinheit und die Anordnung der weiteren 
Recheneinheit mit entsprechender Software zur Verarbeitung 
3 0 des neuen Kommunikationsprotokolls moglich. 

Weitere vorteilhafte Ausbildungen der Erfindung sind in den 
abhangigen Anspruchen angegeben. Vorzugsweise fuhrt die wei- 
tere Recheneinheit eine Zugangsberechtigung der externen Re- 
35 cheneinheit durch. Auch werden weitere Uberpriif ungen der von 
der externen Recheneinheit gelieferten Daten in Bezug auf 
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eine Korrektheit der Daten vorzugsweise von der weiteren Re- 
cheneinheit durchgef iihrt . 

Eine weitere bevorzugte Ausfiihrungsf orm der Erfindung besteht 
5 darin, dass die Zugangsrecheneinheit eine Zugangsberechtigung 
der externen Recheneinheit iiberpriift. 

In einer bevorzugten Ausfiihrungsf orm wird die Zugangsberech- 
tigung der externen, ersten Recheneinheit von der weiteren 

10 Recheneinheit durchgefuhrt und nach Vorliegen einer Zugangs- 
berechtigung eine Datenverbindung zwischen der externen, 
ersten Recheneinheit und einer zweiten Recheneinheit aufge- 
baut, wobei die Datenverbindung von der weiteren Rechenein- 
heit uber die Zugangsrecheneinheit aufgebaut wird, ohne dass 

15 die Zugangsrecheneinheit die Zugangsberechtigung der ersten 
Recheneinheit uberpriift . 

Vorzugsweise verandert die weitere Recheneinheit die in einem 
Datenpaket enthaltene Zieladresse und Absenderadresse in der 
20 Weise, dass ein Datenaustausch zwischen der externen, ersten 
Recheneinheit und der zweiten Recheneinheit nur liber die wei- 
tere Recheneinheit folgt. Somit ist die weitere Recheneinheit 
immer die Zieladresse fur die erste und zweite Recheneinheit, 
wobei Datenpakte, die von der weiteren Recheneinheit abgege- 
ben werden, als Absenderadresse die Adresse der weiteren 
Recheneinhei t enthal t en . 

In einer weiteren Variante der Erfindung uberpriift die wei- 
tere Recheneinheit, ob die externe, erste Recheneinheit als 

3 0 Zieladresse einen Aliasnamen verwendet . Ist dies der Fall, so 
iibergibt die weitere Recheneinheit die Datenpakte an eine 
fiinfte Recheneinheit, die als Gatekeeper ausgebildet ist. Die 
fiinfte Recheneinheit ermittelt aufgrund des Aliasnamen die 
Adresse der Recheneinheit, die mit dem Aliasnamen angespro- 

35 chen werden soil. Nach Ermittlung der Adresse werden die Da- 
tenpakete an die Adresse iibermittelt. Diese Vorgehensweise 
ermoglicht auch die Verarbeitung von Datenpaketen, die als 
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Zieladresse einen Aliasnamen verwenden. Bei dieser bevorzug- 
ten Ausfuhrungsf orm sind sowohl die funfte Recheneinheit als 
auch die weitere Recheneinheit auSerhalb des geschlossenen 
Bereichs angeordnet . 

5 

In einer bevorzugten Ausfuhrungsf orm verarbeitet die weitere 
Recheneinheit Datenpakete nach dem Kommunikationsprotokoll 
Q.931 und H.245. 

10 Vorzugsweise wird ein Anf ragesignal von der externen, ersten 
Recheneinheit in Form eines Datenpaketes nach dem Kommunika- 
tionsprotokoll Q.931 verwendet . 

Zum Aufbau einer Datenverbindung werden Daten zwischen der 
15 ersten und der zweiten Recheneinheit vorzugsweise nach dem 
Kommunikationsprotokoll H.245 ausgetauscht . 

Die Erfindung wird im folgenden anhand der Figuren naher er- 
lautert . Es zeigen: 

20 

Figur 1 eine Anordnung von Recheneinheiten mit einem ge- 
schlossenen Bereich, der uber eine Zugangsrecheneinheit mit 
dem Internet und einer zweiten geschlossenen Zone (DMZ) an 
\sinen Gatekeeper und an einem Proxy-Server angeschlossen ist, 

Figur 2 schematisch den Aufbau einer Datenverbindung uber ei- 
nen Proxy- Server , 

Figur 3 ein Verfahren zum Aufbau einer Datenverbindung zwi- 
30 schen einer ersten und einer zweiten Recheneinheit, bei der 
die Zieladresse der zweiten Recheneinheit der ersten Rechen- 
einheit bekannt ist und 

Figur 4 den Aufbau einer Datenverbindung uber den Proxy-Ser- 
35 ver und einen Gatekeeper. 
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Figur 1 zeigt ein Netzwerk mit verschiedenen Bereichen, wobei 
ein erster Bereich 1 einen of f entlichen Bereich wie z.B. das 
Internet darstellt. An den ersten Bereich 1 sind eine Viel- 
zahl von Recheneinheiten wie z.B. die erste Recheneinheit 2 
(Terminal A) angeschlossen. Die erste Recheneinheit 2 stellt 
aus der Sicht des zweiten Bereichs 5 eine externe Rechenein- 
heit dar. Der erste Bereich 1 steht iiber eine Datenleitung 3 
mit einer dritten Recheneinheit 4 in Verbindung. Die dritte 
Recheneinheit 4 ist wiederum an einen zweiten Bereich 5 ange- 
schlossen, der beispielsweise als Intranet ausgebildet ist. 
An dem zweiten Bereich 5 sind eine Vielzahl von Recheneinhei- 
ten und unter anderem die zweite Recheneinheit 6 angeschlos- 
sen. 

Die dritte Recheneinheit 4 steht zudem mit einem dritten Be- 
reich 7 in Verbindung, an den eine vierte Recheneinheit 8 und 
eine funfte Recheneinheit 9 angeschlossen sind. Die vierte 
Recheneinheit 8 ist beispielsweise in Form eines Proxy-Ser- 
vers ausgebildet, der Daten nach dem Kommunikationsprotokoll 
H.323 verarbeiten kann. 

Die funfte Recheneinheit 9 ist in Form eines Gatekeepers aus- 
gebildet, der in einem Speicher eine Zuordnungstabelle von 
Aliasnamen zu IP-Adressen aufweist. Der dritte Bereich 7 ist 
beispielsweise als Local -Area-Network (LAN) ausgebildet. 

In einer bevorzugten Ausf uhrungsf orm stellt die dritte 
Recheneinheit 4 eine Zugangsrecheneinheit dar, die als Fire- 
wall-Recheneinheit ausgebildet ist, iiber die ein Zugang zu 
dem zweiten Bereich 5 moglich ist. Die Firewall-Recheneinheit 
fuhrt dabei ublicherweise eine Uberprufung der Zugangsberech- 
tigung zum zweiten Bereich 5 durch. Zudem werden die in den 
zweiten Bereich 5 iibertragenen Datenpakete auf eine korrekte 
Form hin tiberpruft. Dabei ist die dritte Recheneinheit 4 auf 
bestimmte Kommunikationsprotokolle beschrankt . Beispielsweise 
kann die dritte Recheneinheit 4 nicht Daten in Form von In- 
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ternet-Telef onie-Anwendungen verarbeiten, die beispielsweise 
nach dem H.323 Koirvmunikationsprotokoll ausgetauscht werden. 

Die vierte Recheneinheit 8 stellt eine weitere Recheneinheit 
5 dar und kann vorzugsweise Daten verarbeiten, die fur Inter- 
net-Telef onie-Anwendungen ausgetauscht werden und beispiels- 
weise nach dem Kommunikationsprotokoll H.323 iibertragen wer- 
den. 

10 Die dritte Recheneinheit 4 verfugt iiber Sof twarepakete, mit 

denen erkannt werden kann, ob Datenpakete nach dem Kommunika- 
\ tionsprotokoll H.323 iibertragen werden. Erkennt die dritte 

f^/' Recheneinheit 4 Daten mit dem Kommunikationsprotokoll H.323, 
so werden diese Daten an die vierte Recheneinheit 8 weiterge- 
15 leitet. 

Internet-Telef onie wird dazu verwendet, urn eine Sprachverbin- 
dung entsprechend der klassischen Telef onruf verbindung aufzu- 
bauen. Typische Anwendungen und Verf ahrensablauf e verwenden 
20 derzeit verschiedene Kommunikationsprotokolle . Eines dieser 
Kommunikationsprotokolle ist die H.323 Protokollf amilie, die 
auch die Protokolle Q.931 und H.245 umfasst. 

Die Aufgabe von Firewall-Rechnern besteht in erster Linie 
darin, den zweiten Bereich 5 gegentiber der AuSenwelt abzusi- 
chern und nur Berechtigten eine Zugriff auf die Daten 
und/oder Recheneinheiten des zweiten Bereichs 5 zu erlauben. 
Dabei werden beispielsweise mit Paketfiltern Datenpakete 
uberprtift und nur die Datenpakete in den zweiten Bereich 5 
30 iibermittelt, die eine Zugangsberechtigung aufweisen. Manche 

Firewall-Recheneinheiten verstecken auch den Aufbau des Netz- 
werks, der im zweiten Bereich 5 ausgebildet ist. In dieser 
Ausfuhrungsf orm ist von aufien nur die Firewall -Recheneinheit 
erkennbar . 

35 
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Die erste, zweite und vierte Recheneinheit 2, 6, 8 sind in 
der Weise ausgebildet, urn Daten nach dem Kommunikationsproto- 
koll H.323, H.245 und Q.931 zu verarbeiten. 

In der beschriebenen Ausf uhrungsf orm weist die dritte Rechen- 
einheit 4, die als Firewall-Recheneinheit ausgebildet ist, 
drei Schnittstellen auf . Eine Schnittstelle ist mit dem 
ersten Bereich 1, dem Internet, eine zweite Schnittstelle mit 
dem zweiten Bereich 5, einem Intranet, und eine dritte 
Schnittstellen mit dem dritten Bereich 7, einem Local-Area- 
Network verbunden. Ans telle einer einzelnen, dritten Rechen- 
einheit 4 kann auch eine Vielzahl von Recheneinheiten in Form 
eines Firewall -Systems angeordnet sein. 

Sendet nun die erste Recheneinheit 2 eine Anfrage an die 
dritte Recheneinheit 4, urn eine Internet-Telef onie-Verbindung 
nach dem H . 323 -Standard aufzubauen, so gibt die erste Rechen- 
einheit 2 ein Anf ragesignal nach dem Q . 931 -Standard an die 
dritte Recheneinheit 4. Die dritte Recheneinheit 4 uberpruft 
das ankommende Signal und erkennt eine Anfrage in Form eines 
Q.931 Aufbausignals . Daraufhin ubermittelt die dritte Rechen- 
einheit 4 die von der ersten Recheneinheit 2 erhaltenen Daten 
zur vierten Recheneinheit 8, die eine Datenverbindung zwi- 
schen der ersten Recheneinheit 2 und einer gewiinschten zwei- 
ten Recheneinheit 6 nach dem H . 32 3 -Standard uber die dritte 
Recheneinheit 4 auf baut . Dabei fuhrt die vierte Recheneinheit 
8 vorzugsweise eine Uberpriifung der Zugangsberechtigung durch 
und uberpruft die von der ersten Recheneinheit 2 abgegebenen 
Daten auf eine korrekte Form und ubernimmt somit vorzugsweise 
die Uberwachungs- und Uberpruf ungsfunktionen einer Firewall- 
Recheneinheit. 

In einer einfachen Ausf uhrungsf orm werden alle Daten, die von 
auSen an die dritte Recheneinheit 4 gesendet werden, zu einer 
Uberpriifung und einer eventuellen Weiterleitung an die vierte 
Recheneinheit 8 bzw. an die vierte und funfte Recheneinheit 
8, 9 weitergeleitet . 



Tenovis GmbH & Co . KG 



TEN 17 8 



8 

Figur 2 zeigt in Form eines schematischen Diagramms den Weg 
der Datensignale, die bei dem Aufbau einer Internet-Telef o- 
nie-Verbindung zwischen der ersten Recheneinheit 2 und der 
zweiten Recheneinheit 6 ausgetauscht werden. Dabei werden Da- 
ten nach dem Q . 931-Standard von der ersten Recheneinheit 2 
uber die dritte Recheneinheit 4 an die vierte Recheneinheit 8 
geleitet. Von der vierten Recheneinheit 8 gehen Daten nach 
dem Q. 931-Standard uber die dritte Recheneinheit 4 an die 
zweite Recheneinheit 6. Zudem gehen Daten von der ersten Re- 
cheneinheit 2 in Form des H . 245-Standards liber die dritte 
Recheneinheit 4 an die vierte Recheneinheit 8. Von der vier- 
ten Recheneinheit 8 gehen Daten im H . 245-Standard uber die 
dritte Recheneinheit 4 an die zweite Recheneinheit 6. Zwi- 
schen der ersten Recheneinheit 2 und der zweiten Rechenein- 
heit 6 werden Medienkanale vorzugsweise nach dem UDP-Standard 
von der ersten Recheneinheit 2 uber die dritte Recheneinheit 
4 zur vierten Recheneinheit 8 und von der vierten Rechenein- 
heit 8 uber die dritte Recheneinheit 4 zur zweiten Rechenein- 
heit 6 aufgebaut. 

Figur 3 zeigt einen Verf ahrensablauf , der einen Aufbau einer 
Datenverbindung entsprechend Figur 2 naher erlautert. Bei 
Programmpunkt 10 gibt die erste Recheneinheit 2 ein Anf rage- 
signal in Form des Q . 931 -Standards an die dritte Rechenein- 
heit 4 , Die dritte Recheneinheit 4 uberpruft das ankommende 
Signal und erkennt ein Signal nach dem Q . 931-Standard bei 
Programmpunkt 20. Die dritte Recheneinheit 4 uberpruft, ob es 
die empfangen Daten verarbeiten kann. Da jedoch die dritte 
Recheneinheit 4 nicht Daten nach dem Standard H.323 verarbei- 
ten kann, gibt die dritte Recheneinheit 4 bei Programmpunkt 
30 das Anfragesignal an die vierte Recheneinheit 8. 

Die vierte Recheneinheit 8 erfasst bei Programmpunkt 40 das 
Anfragesignal und ermittelt aus dem Anfragesignal die Ziel- 
adresse, mit der eine Telef onverbindung aufgebaut werden 
soil. In dem beschriebenen Ausf iihrungsbeispiel ist die Ziel- 
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adresse, die Adressen der zweiten Recheneinheit 6. Anschlie- 
£end verandert die vierte Recheneinheit 8 bei Programmpunkt 
50 die Absenderadresse, die im Anf ragesignal enthalten ist, 
in die eigene Adresse und sendet das veranderte Anf ragesignal 
uber die dritte Recheneinheit 4 an die zweite Recheneinheit 
6. Vorzugsweise fiihrt die vierte Recheneinheit 8 vor der 
Ubertragung des Anf ragesignals an die zweite Recheneinheit 6 
eine Uberprufung der Zugangsberechtigung durch. Dabei werden 
vorgegebene Datenbereiche des Anf ragesignals auf eine ent- 
sprechende Zugangskennung hin uberpruft. Enthalt das Anf rage- 
signal keine entsprechende Zugangskennung, so wird eine Wei- 
terleitung des Anf ragesignals unterbunden. 

Beim folgenden Programmpunkt 60 erhalt die zweite Rechenein- 
heit 6 das Anf ragesignal . Die zweite Recheneinheit 6 gibt bei 
Programmpunkt 65 ein Antwortsignal in Form eines Q.931-Forma- 
tes uber die dritte Recheneinheit 4 an die vierte Rechenein- 
heit 8. Die vierte Recheneinheit 8 empfangt bei Programmpunkt 
7 0 das Antwortsignal und andert sowohl die Zieladresse als 
auch die Absenderadresse des Antwortsignals . Als Zieladresse 
legt die vierte Recheneinheit 8 die Adresse der ersten 
Recheneinheit 2 und als Absenderadresse die Adresse der vier- 
ten Recheneinheit 8 fest. 

Beim folgenden Programmpunkt 80 sendet die vierte Rechenein- 
heit 8 das veranderte Antwortsignal im Q . 931-Standard uber 
die dritte Recheneinheit 4 an die erste Recheneinheit 2. 

Bei Programmpunkt 90 wertet die erste Recheneinheit 2 das 
enthaltene Antwortsignal aus und erkennt aufgrund des Ant- 
wortsignals, ob die zweite Recheneinheit 6 zum Aufbau einer 
Telefonverbindung bereit ist. 1st dies der Fall, so antwortet 
die erste Recheneinheit 2 bei Programmpunkt 90 mit einem Auf- 
bausignal in Form des H . 245-Standards . Im Aufbausignal sind 
weitere Parameter zur Einrichtung von Medienkanalen enthal- 
ten. 
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Das Aufbausignal wird uber die dritte Recheneinheit 4 an die 
vierte Recheneinheit 8 gesendet. Die vierte Recheneinheit 8 
verandert sowohl die Zieladresse als auch die Absenderadresse 
des Aufbausignals . Als Zieladresse wird die Adresse der zwei- 
ten Recheneinheit 6 und als Absenderadresse die Adresse der 
vierten Recheneinheit 8 verwendet. 

Beim folgenden Programrnpunkt 100 sendet die vierte Rechenein- 
heit 8 das veranderte Aufbausignal iiber die dritte Rechenein- 
heit 4 an die zweite Recheneinheit 6. 

Beim folgenden Programrnpunkt 110 antwortet die zweite Rechen- 
einheit 6 in Form eines zweiten Antwortsignals nach dem 
H. 2 45-Standard iiber die dritte Recheneinheit 4 an die vierte 
Recheneinheit 8 . Die vierte Recheneinheit 8 setzt wieder die 
Absenderadresse und die Zieladresse urn und ubermittelt das 
zweite Antwortsignal an die erste Recheneinheit 2. Auf diese 
Weise werden Daten zwischen der ersten und der zweiten Re- 
cheneinheit 2, 6 ausgetauscht , die zu einem Aufbau eines Me- 
dienkanals benotigt werden. 

Nach dem Austausch aller benotigten Daten zum Aufbau eines 
Medienkanals wird bei Programrnpunkt 12 0 ein Medienkanal bei- 
spielsweise in Form des UDP-Protokolls aufgebaut, wobei der 
Medienkanal von der ersten Recheneinheit 2 uber die dritte 
Recheneinheit 4 zur vierten Recheneinheit 8 und von der vier- 
ten Recheneinheit 8 uber die dritte Recheneinheit 4 zur zwei- 
ten Recheneinheit 6 verlauft. 

Somit besteht nun zwischen der ersten Recheneinheit 2 und der 
zweiten Recheneinheit 6 eine Telef onverbindung in Form eines 
H.323-Standards, des sen Daten von der dritten Recheneinheit 
4, die als Firewall-Recheneinheit ausgebildet sind, nicht 
verarbeitet werden konnen. 

Soil die Telef onverbindung zwischen der ersten und der zwei- 
ten Recheneinheit 2, 6 abgebaut werden, so werden bei Pro- 
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grammpunkt 13 0 entsprechende Datensignale, wie beim Aufbau 
der Datenverbindung uber die dritte Recheneinheit 4 und die 
vierte Recheneinheit 8 ausgetauscht . 

Wahrend der Ubertragung von Daten zwischen der ersten und der 
zweiten Recheneinheit 2, 6 uberpriift vorzugsweise die vierte 
Recheneinheit 8 und/oder die dritte Recheneinheit 4 die Form 
der Datenpakete nach vorgegebenen Paketformen, so dass unkor- 
rekte Datenpakete herausgef iltert und vor einem Zugang zum 
zweiten Bereich 5 herausgef iltert werden. 

Figur 4 zeigt eine Weiterbildung der Erfindung, bei der fur 
den Aufbau der Datenverbindung eine funfte Recheneinheit 9 
eingesetzt wird. Die funfte Recheneinheit 9 ist als 
Gatekeeper ausgebildet und verfiigt uber einen Datenspeicher , 
in dem eine Tabelle zur Zuordnung von Aliasnamen zu 
Netzadressen, wie z.B. der IP-Adresse abgelegt ist. Das An- 
fragesignal im Q . 931-Standard wird entsprechend Figur 2 uber 
die dritte Recheneinheit 4 an die vierte Recheneinheit 8 ge- 
leitet. Die vierte Recheneinheit 8 verandert die Absender- 
adresse des erhaltenen Anf ragesignals und schreibt die eigene 
Adresse als Absenderadresse in das Anf ragesignal . Die vierte 
Recheneinheit 8 erkennt bei der Uberprufung des Anf rage- 
signals, dass als Zieladressen ein Aliasname verwendet wird. 
Daraufhin ubermittelt die vierte Recheneinheit 8 das Anfrage- 
signal an die funfte Recheneinheit 9. Die funfte Rechenein- 
heit 9 ermittelt aufgrund des im Anf ragesignals Q.931 verwen- 
deten Aliasnamen die Netzadresse der gewiinschten Rechenein- 
heit. In dem beschriebenen Ausf uhrungsbei spiel wird eine Te- 
le f on verb indung von der ersten Recheneinheit 2 mit der zwei- 
ten Recheneinheit 6 gewunscht. Somit ermittelt die funfte Re- 
cheneinheit 9 als Zieladresse fur das Anf ragesignal bei- 
spielsweise die IP-Adresse der zweiten Recheneinheit 6 und 
ubertragt das Anf ragesignal uber die dritte Recheneinheit 4 
an die zweite Recheneinheit 6. 
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Das Antwortsignal der zweiten Recheneinheit 6 wird ebenfalls 
uber die dritte Recheneinheit 4 und den Gatekeeper 9 an die 
vierte Recheneinheit 8 geleitet. 

Die vierte Recheneinheit 8 verandert entsprechend dem Verfah- 
ren der Figur 3 beim Antwortsignal die Zieladresse und die 
Absenderadresse, wobei als neue Zieladresse die Adresse der 
ersten Recheneinheit 2 und als Absenderadresse die Adresse 
der vierten Recheneinheit 8 verwendet wird. Das Antwortsignal 
wird von der vierten Recheneinheit 8 ebenfalls uber die 
dritte Recheneinheit 4 an die erste Recheneinheit 2 gesendet . 

Das folgende Anf ragesignal im H . 245 -Standard wird, wie in der 
Ausfiihrungsform der Figuren 2 und 3 uber die dritte Rechen- 
einheit 4 an die vierte Recheneinheit 8 geleitet. Die vierte 
Recheneinheit 8 erkennt wiederum die Verwendung eines Alias- 
namens als Zieladresse. Daraufhin andert die vierte Rechen- 
einheit 8 die Absenderadresse des Aufbausignals und ubergibt 
das veranderte Aufbausignal an die fiinfte Recheneinheit 9. 
Die fiinfte Recheneinheit 9 ermittelt aufgrund des verwendeten 
Aliasnamens die Zieladresse der gewunschten Recheneinheit und 
sendet das Aufbausignal uber die dritte Recheneinheit 4 an 
die zweite Recheneinheit 6. 

Nach dem Austausch entsprechender Da ten uber das Aufbausignal 
werden Medienkanale von der ersten Recheneinheit 2 uber die 
dritte Recheneinheit 4 zur vierten Recheneinheit 8 und ausge- 
hend von der vierten Recheneinheit 8 iiber die dritte Rechen- 
einheit 4 zur zweiten Recheneinheit 6 auf gebaut . Dieses Ver- 
fahren entspricht dem Verfahren, das in dem Ausf uhrungsbei- 
spiel der Figuren 2 und 3 verwendet wurde. 

In dem Ausf uhrungsbeispiel der Figur 4 werden die Zugangsbe- 
rechtigung und/oder die Uberwachung der korrekten Form der 
Datenpakete vorzugsweise von der vierten Recheneinheit 8 aus- 
gefuhrt. Es konnen jedoch auch mindestens Teilaufgaben von 
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der dritten Recheneinheit 4 oder der funften Recheneinheit 9 
ubernommen werden. 

Die Erfindung wurde am Beispiel des Aufbaus einer Datenver- 
bindung zur Ubertragung von Internet-Telef onie-Daten nach dem 
H. 323 -Standard, Q. 931-Standard und H . 245-Standard beschrie- 
ben. Die Erfindung ist jedoch nicht auf die Anwendung dieser 
Datenprotokolle beschrankt, sondern kann fur jede Art von Da- 
teniibertragung eingesetzt werden. Wesentlich ist, dass die 
Verarbeitung, Uberprufung, Umsetzung von Daten, Absender- 
adressen und Zieladressen von einer Recheneinheit ausgefuhrt 
wird, die auSerhalb eines von einer Firewall -Recheneinheit 
geschutzten Bereichs angeordnet ist. Damit wird eine einfache 
Erweiterung der Verarbeitung von Datenprotokollen uber die 
Anordnung einer entsprechenden Recheneinheit ermoglicht, ohne 
die Programmierung einer Firewall -Recheneinheit andern zu 
mussen. Somit ist eine erhohte Flexibilitat des Netzwerks und 
der Zugangsberechtigung zu einem geschutzten Bereich bei- 
spielsweise einem Intranet gegeben. 
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Patentanspruche 

1. Verfahren zum Aufbauen einer Datenverbindung zwischen 
einer ersten Recheneinheit (2) und einer zweiten Rechenein- 
heit (6) , wobei die Datenverbindung zu der zweiten Rechenein- 
heit (6) uber eine dritte Recheneinheit (4) aufgebaut werden 
kann, 

wobei von der ersten Recheneinheit (2) ein Anf ragesignal an 
die dritte Recheneinheit (4) geleitet wird, 

wobei die dritte Recheneinheit (4) das Anf ragesignal iiber- 
pruf t , 

dadurch gekennzeichnet, dass 
die dritte Recheneinheit (4) bei Vorliegen eines vorgegebenen 
Anf ragesignals das Anf ragesignal zu einer vierten Rechenein- 
heit (8) weiterleitet , 

dass die vierte Recheneinheit (8) das Anf ragesignal uber- 
priift, und 

dass die vierte Recheneinheit (8) bei Vorliegen vorgebbarer 
Parameter uber die dritte Recheneinheit (4) eine Datenverbin- 
dung zwischen der ersten und zweiten Recheneinheit (2, 6) 
auf baut . 

2. Verfahren nach Anspruch 1, 

dadurch gekennzeichnet, dass 
vor dem Aufbau einer Datenverbindung von der dritten und/oder 
der vierten Recheneinheit (4, 8) eine Zugangsberechtigung der 
ersten Recheneinheit (2) uberpruft wird und eine Datenverbin- 
dung zugelassen wird, wenn die Zugangsberechtigung vorliegt. 

3 . Verfahren nach Anspruch 2 , 

dadurch gekennzeichnet, dass 
die vierte Recheneinheit (8) eine Uberprufung der Zugangsbe- 
rechtigung durchfuhrt, 

dass bei Vorliegen der Zugangsberechtigung die vierte Rechen- 
einheit (8) uber die dritte Recheneinheit (3) eine Datenver- 
bindung zu der zweiten Recheneinheit (6) auf baut, und 
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dass die dritte Recheneinheit (4 ) die Datenverbindung zwi- 
schen der vierten Recheneinheit (8) und der zweiten Rechen- 
einheit (6) zulasst, ohne eine Uberprufung einer Zugangsbe- 
rechtigung durchzuf uhren . 

4. Verfahren nach einem der Anspriiche 1 bis 3, 
dadurch gekennzeichnet, dass 

das Anf ragesignal eine Zieladresse und eine Absenderadresse 
aufweist , 

dass die vierte Recheneinheit (8) die Absenderadresse in die 
eigene Adresse andert, und 

dass die vierte Recheneinheit (8) das Anf ragesignal iiber die 
dritte Recheneinheit an die Zieladresse sendet . 

5, Verfahren nach einem der Anspriiche 1 bis 4, 
dadurch gekennzeichnet, dass 

die erste Recheneinheit (2) ein Aufbausignal mit einer Absen- 
deradresse der ersten Recheneinheit (2) der dritten Rechen- 
einheit ( 4 ) zuf uhrt , 

dass die dritte Recheneinheit (4) das Aufbausignal an die 
vierte Recheneinheit ( 8 ) ubergibt , 

dass die vierte Recheneinheit (8) die Absenderadresse in die 
eigene Adresse umwandelt und das veranderte Aufbausignal iiber 
die dritte Recheneinheit (4) der zweiten Recheneinheit (6) 
als Zieladresse zuf iihrt , 

dass die zweite Recheneinheit (6) ein Antwortsignal an die 
vierte Recheneinheit (8) als Zieladresse iiber die dritte Re- 
cheneinheit ( 4 ) sendet , 

wobei das Antwortsignal als Absenderadresse die Adresse der 
zweiten Recheneinheit (6) aufweist, 

dass die vierte Recheneinheit (8) die Zieladresse des Ant- 
wortsignals in die Adresse der ersten Recheneinheit (2) an- 
dert, 

dass die vierte Recheneinheit (8) die Absenderadresse in die 
Adresse der vierten Recheneinheit (8) andert, 
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und dass die vierte Recheneinheit (8) anschlieSend das veran- 
derte Antwortsignal iiber die dritte Recheneinheit (4) an die 
erste Recheneinheit (2) sendet . 

6. Verfahren nach einem der Ansprliche 1 bis 5, 
dadurch gekennzeichnet, dass 
die vierte Recheneinheit (8) das Anf ragesignal auswertet und 
einen Aliasnamen erkennt , 

dass daraufhin die vierte Recheneinheit (8) das Anf ragesignal 
an eine fiinfte Recheneinheit (9) iibermittelt, 
dass die fiinfte Recheneinheit (9) aufgrund des Aliasnamen 
eine Adresse fur die zweite Recheneinheit (6) ermittelt, 
dass die funfte Recheneinheit (9) das Anf ragesignal iiber die 
dritte Recheneinheit (4) an die Adresse der zweiten Rechen- 
einheit (6) weiterleitet . 

7. Verfahren nach Anspruch 6, 

dadurch gekennzeichnet, dass 
die erste Recheneinheit (2) ein Aufbausignal der dritten Re- 
cheneinheit (4) zufiihrt, 

dass die dritte Recheneinheit (4) das Aufbausignal an die 
vierte Recheneinheit (8) iibergibt, 

dass die vierte Recheneinheit (8) das Aufbausignal der fiinf- 
ten Recheneinheit (9) zufiihrt, und 

dass die funfte Recheneinheit (9) das Aufbausignal iiber die 
dritte Recheneinheit (4) der zweiten Recheneinheit (6) zu- 
fiihrt , 

wobei zwischen der ersten und der zweiten Recheneinheit (2, 
6) Daten zum Aufbau einer Datenverbindung ausgetauscht wer- 
den . 

8. Vorrichtung zum Austauschen von Daten mit einer zweiten 
Recheneinheit (6), die mit einer dritten Recheneinheit (4) 
verbunden ist, 

3 5 wobei die dritte Recheneinheit (4) ein Anf ragesignal iiber- 
priif t , 

dadurch gekennzeichnet, dass 
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die dritte Recheneinheit (4) mit einer vierten Recheneinheit 
( 8 ) verbunden i s t , 

dass die dritte Recheneinheit (4) bei Vorliegen eines vorge- 
gebenen Anf ragesignals das Anf ragesignal an die vierte 
Recheneinheit (8) weiterleitet , 

dass die vierte Recheneinheit (8) das Anf ragesignal uber- 
pruft, und 

dass die vierte Recheneinheit (8) bei Vorliegen vorgebbarer 
Parameter liber die dritte Recheneinheit (4) eine Datenverbin- 
dung zwischen der ersten und zweiten Recheneinheit (2, 6) 
aufbaut . 

9. Vorrichtung nach Anspruch 8, 

dadurch gekennzeichnet, dass 
Daten zwischen der ersten und zweiten Recheneinheit (2, 6) 
jeweils uber die dritte und vierte Recheneinheit (4, 8) 
ausgetauscht werden , 

wobei die vierte Recheneinheit (8) Absender- und/oder der 
Zieladressen der ausgetauschten Daten andert. 

10. Vorrichtung nach Anspruch 8 oder 9, 
dadurch gekennzeichnet, dass 

die vierte Recheneinheit (8) eine Uberprufung einer Zugangs- 
berechtigung der ersten Recheneinheit (1) zum Aufbau eines 
Kontaktes zur zweiten Recheneinheit (2) vornimmt, und 
dass die vierte Recheneinheit (8) eine Datenverbindung von 
der ersten Recheneinheit (2) zur zweiten Recheneinheit (6) 
aufbaut, wenn die Zugangsberechtigung vorliegt. 

11. Vorrichtung nach einem der Anspriiche 8 bis 10, 
dadurch gekennzeichnet, dass 

die vierte Recheneinheit (8) mit einer fiinften Recheneinheit 
(9) verbunden ist, 

dass die funfte Recheneinheit (9) eine Umsetzung eines Alias- 
namen als Zieladresse, die von der ersten Recheneinheit (2) 
verwendet wird, in eine interne Adresse vornimmt, und 
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dass die vierte Recheneinheit (8) eine Datenverbindung zwi- 
schen der ersten und zweiten Recheneinheit (2, 6) unter 
Benutzung der internen Adresse der zweiten Recheneinheit (6) 
auf baut . 
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Z u s ammen f a s sung 

Verfahren zum Aufbauen einer Da tenverb inching zwischen einer 
ersten und einer zweiten Recheneinheit und Vorrichtung zum 
5 Austauschen von Daten 

Es wird ein Verfahren und eine Vorrichtung beschrieben, bei 

der Daten von einer Firewall-Recheneinheit zu einer weiteren 

Recheneinheit weitergeleitet werden, wenn die Firewall-Re- 
10 cheneinheit das verwendete Datenprotokoll nicht verarbeiten 

kann. Die weitere Recheneinheit ubernimmt Aufgaben der Fire- 
7 1 wall -Recheneinheit bei der Uberprufung der ubermittelten Da- 
W tenpakete und bei der Durchfvihrung der Zugangsberechtigung . 

Ein Datenaustausch wird von der weiteren Recheneinheit wieder 
15 liber die Firewall-Recheneinheit zu einem geschiitzten Bereich 

aufgebaut. Somit ist eine erhohte Flexibilitat der Firewall- 

Funktion gegeben. 

Figur 2 
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